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In this microprocessor circuit, a protective circuit 
is provided which prevents access to 
unauthorised memory areas, particularly when 
so-called user programs are executed. The 
protective circuit is decoupled from the actual 
microprocessor circuit, but is preferably provided 
on the integrated circuit accommodating the 
microprocessor. 
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1 2 

Beschreibung ren. 

[0011] Die Aufgabe wird durch die in den Anspriichen 1 

[0001 J Die Hrfindung betriff t cinen kartenformigen Daten- und 6 angegebenen Merkmale jeweils geldst. 

trager mit einer datenschutzcnden Mikroprozessorschaltung [0012] Die datenschutzende Schaltung bcsteht aus einer 

gemaB deui Oberbegriff des Anspruchs 1. 5 ersten Einrichtung zur tiberwachung der jeweils angespro- 

[0002] MikroprozessorschalLungen der genannten Art [in- chenen Adresse, einer zweiten Einrichtung zur Oberwa- 

den bevorzugt Anwendung in sogenannten Chipkarten, d. h. chung des Mikroprozessor-Prograrnmzahlers sowie einer 

Aus weiskarten, Kreditkarten, Buchungskarten und derglei- weiteren Einrichtung, die die Signale der Oberwachungsein- 

chen, die mit einem integrierten Schaltkreis ausgestattet richtungen zur Erzeugung eines Sperrsignals verknUpft. 

sind. Die Mikroprozessorschaitungen sind aber auch in so- io [0013] Durch die ttberwachung des Programmzahlerstan- 

genannten Zahlungsverkehrsmodulen einsetzbar, die mit des ist die Schutzschaltung jederzeit in der Lage festzustel- 

den obengenannten Karten Uber entsprechende Schnittstel- len, welches der geladenen Programme gerade ausgefiihrt 

len komrnunizieren. wird. Bei gteichzeitiger Oberwachung der vom jeweils akd- 

[0003] Um das Verstandnis der Erfindung zu erleichtern, ven Programm aufgerufenen Adresse kann Uber die Ver- 

soli sich die folgende Beschreibung auf die Anwendung der 15 knupfungsschaltung auf einfache Wcise auf einen nicht zu- 

Mikroprozessorschaltung bei Karten beziehen. iassigen Speicherzugriff reagiert werden, indem beispiels- 

[0004] Eine Karte mit Mikroprozessor wurde erstmals in weise cin Reset-Signal auf den Mikroprozessor gefiihrt 

der DE-OS 27 38 113 beschrieben. Einer der wesentlichen wird. 

Vorteile einer solchen Karte besteht in der vielfaUtigen Ver- [0014] Die Schutzschaltung ist vom eigentlichen Mikro- 

wendungsmoglichkeit seitens des Karleninhabers. Der iin 20 prozessor entkoppelt, aber vorzugsweise auf dem den Mi- 

integrierten Schaltkreis der Karte enthaltende Mikroprozes- kroprozessor aufnehmenden integrierten Schaltkreis vorge- 

sor und die dazugehorigen Speichermittel erlauben eine um- sehen. Durch die Vorgabe entsprechender Sollwerte flir den 

fangreiche Datenverarbeitung in der Karte selbst, wohinge- jeweiligen Programmzahlerstand und die jeweiligen Adrcs- 

gen die bei spiels weise mit Magnetstreifen versehenen Kar- sen iassen sich beliebige Speicherbereiche definieren, die 

ten es erforderiich machen, s&mtiiche Datenverarbeitungs- 25 fur einen bestimmten Anwender zulassig bzw. nicht zulassig 

vorgange extern durchzufUhren. sind. Soilen bestimmte Speicherbereiche selektiv beziiglich 

[0005] Der Kartenhersteiler kann den Mikroprozessor mit des Lesens oder Schreibens gesperrt werden, so ist das 

einem fest gespeicherten Betriebssystem ausstatten, welches Schreib-ZLesesignal des Mikroprozessors in der Schutz- 

grundlegende Funktioncn Ubernimmt, beisptelsweise Proze- schaltung entsprechend mit zu verarbciten. 

duren zum Vergleichen eines extern eingegebenen Codes 30 [0015] Die Erfindung sieht vor, daB die Schutzschaltung 

mit einem gespeicherten Code und dergieichen. Die zu dem durch einen als Sicherungsprozessor bezeichneten Mikro- 

Mikroprozessor gehorigen Speicher dienen auBer zur Ab- prozessor ausgebildet ist, der den die Fremdprogramme aus- 

speicherung des Betriebssystems auch zum Abspeichem be- fuhrenden als Arbeitsprozessor bezeichneten Mikroprozes- 

stimmter Anwendungen und Parameter, die z. B. zur Sichcr- sor Uberwacht. Durch diese MaBnahme stent der Arbeitspro- 

heitsiiberprufung notwendig sind und auf jeden Fall geheim- 35 zessor unter standiger Kontrolle des Sicherungsprozessors, 

gehalten werden miissen. der nach jedem Reset und der darauffolgenden Inidalisie- 

[0006] Eine vielseitige Anwendung der Karten erreicht rungsphase den Betrieb des Arbeitsprozessors frei gibt. 

man dann, wenn man von einem Betriebssystem mit zuge- Stellt der Sicherungsprozessor fest, daS der ein bestimmtes 

horigen Programmen ausgeht, gewisse Schnittstellen defi- Fremdprogramm ausfiihrende Arbeitsprozessor auf einen 

niert und einen Speicher oder Speicherbereich ftf r ein soge- 40 nicht zulassigen Speicherbereich zugreift, so gibt der Siche- 

nanntes Fremdprogramm reserviert. Der Kartenhersteiler rungsprozessor ein Sperrsignal auf einen nichtmaskierten 

stellt dann fUr die Anwender, d. h. fur die Karten ausgeben- Intcrrupteingang oder den Reset-Eingang des Arbeitspro- 

den Organisationen, einen Speicher bzw. Speicherbereich zessors. 

zur Einprogrammierung ihres Fremdprogramms zur VerfU- 10016] Da der Sicherungsprozessor samtliche Einzel- 

gung. In diesem Fremdprogramm kann die Organisadon 45 schritte des Arbeitsprozessors uberwachen soil, wird er 

dann spezifische Operauonen festlegen, die unabhangig zweckmiiBigerweise mit einer hdheren Taktfrequenz arbei- 

vom Betriebssystem sind und die lediglich die spezielle Or- ten als der Arbeitsprozessor. 

ganisation betreffen. [0017] Wenn in dem dem Arbeitsprozessor zugeordneten 

[0007] Eine weitere denkbare Variante besteht darin, dafl Speicher mehrere Fremdprogramme gespeichert sind, muB 

nicht nur eine einzige Organisadon ihr Fremdprogramm in 50 ein Zugriff nicht nur zum Betriebssystem, sondern auch zu 

die vorgefertigte Chipkarte einprogrammiert, sondern dafi anderen Fremdprogrammen verhindert werden. Die dazu 

mehrere unterschiedliche Organisationen ihre entsprechen- notwendigen Sollwerte werden zweckmaBigerweise in ei- 

den Programme etnspcichem. nem dem Sicherungsprozessor zugeordneten Speicher als 

[0008] In jedem Fall muB dafUr gesorgt werden, daB si- Grenzwertc cingespeichert. Dazu ist dem Sicherungsprozes- 

cherheitsrelevante Daten, die Bestandteil des Betriebssy- 55 sor ein Grenzwertspeicher zugeordnet, in welchem die 

stems oder auch der einzclncn Fremdprogramme sind, vor Grenzwerte fur die Uberwachten Adressen und flir die mdg- 

unbetugtem Zugriff geschutzt werden. lichen Inhalte des Programmzahlers des Arbeitsspeichcrs 

[0009] Die JP 55-42 312 A befaBt sich mit dem Problem, abgelegt sind. Auf diese Bereiche hat der Arbeitsprozessor 

dafi beim Beschreiben von Speicherbereichen tatsachheh keine Zugriffsmoglichkeit. 

nur die beabsxehtigten Speicherbereiche und nicht etwas an- 60 [0018] Das Sperren der Ausfuhrung eines Fremdpro- 

dere Speicherbereiche beschrieben werden soilen. Dazu gramms bei unberechdgtem Speicherzugriff kann auch da- 

werden einerseits der Programmzahler, also die beabsich- durch erreicht werden, daB nur ein bestimmter Satz von in- 

tigte Schreibadresse, und andererseits die tatsachliche be- terprederbaren Befehlen zugelassen wird. Die Befehle des 

schriebene Speicheradresse Uberwacht, und zwar werden sie Fremdprogramms werden dann unter der Kontrolle des Be- 

konkret darauf uberwacht, ob ste beide in demselben vorge- 65 triebssystems ausgefiihrt, wobei gewahrleistet ist, dafi ein 

gebenen Adressenbereich liegen. Zugriff nur auf solche Bereiche 'stattfindet, auf die ein Zu- 
[0010] Der Erfindung liegt die Aufgabe zugrunde, die be- griff ausdrticklich zugelassen ist. Der Programmzahler des 
kannteSchalLungimSinnehdhererFlexibilitatzumodifizie- Mikroprozessors gelangt so nie unter die Kontrolle des 
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Fremdprogramms. 

[0019] Neben den oben angesprochencn Moglichkeiten 
sieht die Erfindung in einer weiteren Variantc vor, daB meh- 
rere frei programmierbare Spcicherbereiche vorgeschcn 
sind, deren AdreBraume bis auf wenigslens einc hochstwer- 5 
tige Stelle gleich sind. Die jeweils hochstwertige, einem 
Speicherbereich zugeordnete Stelle, wird jeweils vor der 
Adressierung des Speicherbereichs in ein Hilfsregister gela- 
den. Bei jeder Anderung des Daieninhalts des Hilfsregisters 
wird ein Sperrsignal erzeugt. Mit jedern Ladevorgang des 10 
Hilfsregisters wird seitens des Mikroprozessors ein be- 
stimmter Anwender definiert. Oreift dieser Anwender auf 
einen nicht erlaubten Speicherbereich zu, was sich in einer 
entsprechenden Anderung des Hilfsregisterinhalts auswirkt, 
erzeugt die Schutzschaltung, die den Inhait des Hilfsreei- 15 
sters uberwacht, ein Sperrsignal. 

[0020] Weitere Vorteile und Weiterbildungen der Erfin- 
dung ergeben sich aus den Unteranspruchen sowie den Aus- 
fiihrungsbeispielen, die nachfolgend anhand der Figuren be- 
schheben werden. Darin zeigt 20 
[0021] Fig. 1 einen Datentrager mit integriertem Schalt- 
kreis, 

[0022] Fig. 2 ein Blockschaltbild einer fur einen Datentra- 
ger vorgesehenen integrierten Schaltung mit Mikroprozes- 
sor, Speicher und Sperrschaltung, " 1 25 
[0023] Fig. 3 ein Blockschaltbild einer fur einen Datentra- 
ger vorgesehenen integrierten Schaltung mit einem Arbeits- 
prozessor und einem Sicherungsprozessor gemSB der Erfin- 
dung sowie zugehorigen Speichcrn und 

10024] Fig. 4 ein Blockschaltbild einer fur einen Datentra- 30 
ger vorgesehenen integrierten Schaltung mit Mikroprozes- 
sor, Speicher und Sperrschaltung gemaB der Erfindung. 
[0025] Fig. 1 zeigt den Aufbau eines Datentriigers, bei- 
spielsweise einer Kreditkarte 1 mit Klarschrift-Datenfeld 2, 
Unterschriflsstreifen 3, und einen in den Kartenkorper ein- 35 
gebetteten integrierten SchaltkreisS mit AnschluBkontakten 
6. Die AnschlUsse sind hier als AnschluBkontakte 6 in Form 
yon zwei Reihen ausgebildet. Der Aufbau derartiger Karten 
ist grundsStzlich bekannt und soil hier nicht n2her erlautert 
werden. Ferner ist die Art und Weise des Gebrauchs und die 40 
Datenverarbeitung in Verbindung mit solchen Kreditkartcn 
bekannt. Uber die AnschluBkontakte 6 crfolgt ein Datcnaus- 
tausch mit beispielsweise einem Terminal, einem Cieldaus- 
gabeautomaten oder dergleichen. In der integrierten Schal- 
tung der Kreditkarte werden beispielsweise Sicherheitsrou- 45 
tinen ausgefuhrt, die fUr den Berechtigungsnachweis des 
Kartenbenutzers notwendig sind. 

[0026] Fig. 2 zeigt eine integrierte Schaltung, wte sie in 
der Kreditkarte eingebaut ist. Ein Mikroprozessor 10 enthait 
eine Steuereinheit 11, die uber eine Steuerleitung 18 mit ei- 50 
nerSpeicheranordnung 30 verbunden ist, eine arithmerisch- 
logische Einheit (ALU) 12, einen Registersatz 13, ein 
AdreBregister 14 und ein Datenregister 15. Ein Register des 
Registersatzes 13 dient als Programmzahier, dessen Inhait 
festlegt, auf welche Adresse einer Speicheranordnung 30 55 
zugegnffen wird, urn einen Befehl des dort gespeicherten 
Fremdprogramms abzurufen. Der Befehl veranlaBt bei- 
spielsweise, daB aus einer bestimmten Adresse des Spei- 
chers ein Datenwert ausgelesen wird. Hierzu wird in dem 
AdreBregister 14 eine Adresse gespeichert, die beim nach- 60 
sten SpeicherzugrifT fesdegt, auf welche Adresse zueeerif- 
fen wird. 

[0027] Die Adresse wird Uber einen Adrefibus 17 an die 
Speicheranordnung 30 gegeben. Die in den Speicher 30 ein- 
geschriebenen oder aus dem Speicher 30 ausgelesenen Da- 65 
ten gelangen Uber einen Datenbus 16 in das Datenregister 15 
und von dort in ein Register des Registersatzes 13. 
[0028] Die Speicheranordnung 30 urnfafit im dargestelllen 



Beispiei einen Schreib-/Lesespeicher (RAM) 31, einen Fest- 
Speicher (ROM) 32 und E 2 PROM 33. Diese Speicherberei- 
che 31, 32 und 33 gehdren zu dem Bctriebssystem (BS), 
welches zum Teil sicherheitsrelcvante Daten enthait, die auf 
jeden Fall geheirngehalten werden mussen. Um dies zu ge- 
wahrleisten, ist in dieser einfachen Ausfuhrungsform gemaB 
Fig. 2 der Zugriff zu samtlichen Speicherbereichen 31, 32, 
33 des Betriebssysterns (BS) fiir einen Anwender aus sei- 
nem Frerndprogramm heraus gesperrt. 
[0029] Will der HersteUer dem Anwender einen Bereich 
des Betriebssysterns zugangUch machen, der dann selbstver- 
standlich keine sicherheitsrelevanten Daten enthalten darf, 
so mUBre die nachfolgend beschriebene Schutzschaltung 20 
in Bezug auf die noch verbleibenden zu schutzenden Adres- 
sen des Betriebssysterns entsprcchend angcpaBt werden. In- 
dent dem Anwender ein Bereich des Betriebssysterns aus 
seinem Frerndprogramm heraus zuganglich gemacht wird 
ist es beispielsweise moglich, ihm die Benutzung zu einer 
Routine, z. B. zum Vergleich einer eingegebenen Nummern- 
folge mit emer im Betriebssystem - geschutzt - gespeicher- 
ten Nummemfolge, zu ermoglichen und ihm hierdurch die 
ErsteUung seines Fremdprogramms zu erleichtern. 
[0030] Weiterhin enthait die Speicheranordnung 30 einen 
Speicherbereich 34 fiir ein Frerndprogramm. Dieses Frernd- 
programm kann von einer Organisation, welche mit dem 
HersteUer der Karte nicht identisch ist, geladen werden 
Hierzu ist der Speicherbereich 34 als E 2 PROM ausgebildet! 
Das Frerndprogramm, welches seitens des Anwenders gela- 
den wird, nimmt die Speichcrplatzc w bis x ein, wahrend das 
Betriebssystem die Speicherplatze 0 bis w-1 einnimmt. 
[0031] Das Frerndprogramm enthait spezielle Routinen 
und Daten, um beispielsweise festzustellen, ob die von dem 
Karteninhaber gefordene Dienstleistung, z. B. eine Geld- 
ausgabe, zugelassen wird, was beispielsweise vom jeweili- 
gen Kontostand des Karteninhabers abhSngt. Nachdem der 
Karteninhaber die Karte in einen Automaten eingefiihrt hat, 
erfolgt ein Datenaustausch zwischen dem Automaten und 
dem Mikroprozessor 10. Nach der Initialisierung und der 
DurchfUhrung bestimmter Routinen durch das Betriebssy- 
stem kann der weitere Betrieb durch das im Speicherbereich 
34 gespeichcrte Frerndprogramm crfolgen, beispielsweise 
dadurch. daB der Programmzahier PC im Registersatz 13 auf 
die Adresse w eingestellt wird. Darnit wird als nachstes der 
in der ersten Speicherstelle des Speicherbereichs 34 gespei- 
cherte Befehl des Fremdprogramms aufgerufen. 
[0032] Um nun zu verhindem, daB seitens des Fremdpro- 
gramms auf Adressen in den Speicherbereichen 31, 32 und 
33 zugegnffen wird, ist eine crfindungsgemaUe Schutz- 
schaltung 20 vorgesehen. Diese Schaltung ist zusatzlich zu 
dem Mikroprozessor 10 und der Speicheranordnung 30 vor- 
handen. Vorzugsweise sind alle Komponenten als integrierte 
Schaltung auf einem einzigen Chip ausgebildet 
[0033] Die Schutzschaltung 20 enthait cincn ersten Kom- 
parator 21, cin erstcs Hilfsregister (HRI) 22, einen zweiten 
Komparator 23, ein zweites Hilfsregister (HRH) 24, ein 
UND-Gattcr 25 und eine Ausgangslcitung 26, die von dem 
UND-Gattcr 25 zu der Steuerschaltung 11 des Mikroprozes- 
sors 10 fuhrt. 

[0034] Der Komparator 21 vergleichl die Inhalle des 
AdreBregisters 14 und des Hilfsregisters 22, wahrend der 
Komparator 23 den Inhait des Programmzahlers mit dem In- 
hait des Hilfsregisters 24 vergleicht. 

[0035] Die Inhalte der beiden Hilfsregister 22 und 24 kdn- 
nen herstellerseitig in fest verdrahteter Logik "vorprogram- 
mierT sein. Die Inhalte kflnnen auch jeweils im Zuge der In- 
itialisierung des Mikroprozessors durch das Betriebssystem 
aus gesicherten Speichern in die Hilfsregister geladen wer- 
den. 
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[0036] In das Hilf sregister 22 wird die Adresse w geladen, 
bci der das Frcmdprogramm im Speicherbereich 34 beginnt. 
Im Hilfsregister 24 wird ebenfalls der Wert w gespeichert. 
Wahrend der Komparator 21 ein Signal liefert, wenn die im 
AdreBregister 14 enthaliene Adresse kleiner ist als die im 
Hilfsregister 22 gespeicherte Adresse w (dies bedeulet, daB 
das Fremdprogramm auf eine unerlaubte Speicherstelle zwi- 
schen 0 und w-1 zugreift), liefert der Komparalor 23 ein Si- 
gnal, wenn der Inhalt des Programmzahlers PC des Regi- 
stersatzes 13 grofier oder gleich dem im Hilfsregister 24 ge- 
speicherten Wert w ist f wobei letzeres bedeutet, daB gerade 
das Fremdprogramm ausgefUhrt wird. 
[0037] Wenn beide Komparatoren 21 und 23 ein Signal 
liefern, so bedeutet dies, da8 das Fremdprogramm ausge- 
fiihrt und daS auf cine uncriaubte Adresse zugegriffen wird, 
die auBerhalb des AdreBraums des Fremdprogramms liegt. 
Hierbei liefert das UND-Gatter 25 beispielsweise ein Reset- 
Signal iiber die Lcitung 26 an die Steuereinheit 11, die da- 
durch eine weitere Ausfuhrung des Fremdprogramms sperrt. 
[0038] Urn das Schreiben oder Lesen selekdv zu sperren, 
wird das Schreib-ZLesesignai des Mikroprozessors in der 
Schutzschaltung 20 mit verarbeitet (siehe Leitung 27). 
[0039] In einer Abwandlung der Ausf Uhrungsform gemaB 
Fig. 2 kdnnen zusatzliche Komparatoren mit dazugeharigen 
Hilfsregister vorgesehen werden, wenn weitere Speicherbe- 
reiche fQr weitere, von verschiedenen Anwendem zu la- 
dende Fremdprogramme vorhanden sind. 
[0040] Fig, 3 zeigt eine AusfUhrungsform der Erfindung. 
Ein Arbeitsprozcssor 110 mit der dazugchorigen Speicher- 
anordnung (PROM) 130 hat im wesentlichen die gleiche 
Funklion wie der Mikroprozessor 10 mit der dazugehdrigen 
Speicheranordnung 30 in Fig. 2. 

[0041] Als Schutzschaltung dient hier ein zweiter Prozes- 
sor, namlich ein Sicherungsprozessor 120, der cine eigene 
Speicheranordnung 150 aufweist. 

{0042] Ein Betriebstaktsignal CI legt die Arbeitsge- 
schwindigkeit des Sicherungsprozessors 120 fest. Uber eine 
Teilerschaltung 140 wird die Frequenz des Taktsignals 
durch n geteilt, so daB der Arheitsprozessor 110, der das 
Ausgangssignal der Teilerschaltung 140 empfangt, nur mit 
der 1/n-ten Geschwindigkeit arbeitet wic der Sicherungspro- 
zessor 120. 

[0043] Der Sicherungsprozessor 120 enthalt eine Steuer- 
einheit 121, die bei Feststeilung eines unberechtigten Spei- 
cherzugriffs seitens eines Fremdprogramms ein Reset-Si- 
gnal an den Arbeitsprozcssor 110 gibt. Hierzu werden der 
AdreBbus 117 und die Steuerleitung 111 zwischen dem Ar- 
beitsprozessor 110 und der Speicheranordnung 130 Uber- 
wacht. AuBerdem erfoigt eine Uberwachung des Programm- 
zahlers (PC) des Arbeitsprozessors. Sowohl die Daten auf 
dem AdreBbus 117 als auch der Inhalt des Programmzahlers 
PC werden fiir jedes Fremdprogramm mit bestimmten 
Grcnzwcrten verglichen. 

[0044] Die Speicheranordnung 130 fiir den Arbcitsprozes- 
sor 110 enthalt mehrere Speicherbereiche fiir verschiedene 
Anwendcr, die hier als Anwendcr I, Anwendcr EL bczcich- 
nct sind. Wie oben crwahnt, werden dicsc Fremdprogramme 
von einer von dem Kartenherstelier verschiedenen Organi- 
sationen separat geladen. Die Speicherbereiche 134, 135 
und 136 der Speicheranordnung 130 sind vorzugsweise als 
nichtflUchtiger Speicher(z. B. E 2 PROM) ausgebiidet. 
[0045] Wenn ein bestimmtes Fremdprogramm, z. B. das 
im Speicherbereich 134 des Anwenders I gespeicherte Pro- 
gramm, von dem Arheitsprozessor 110 nach erfolgter Initia- 
lisierung ausgefUhrt wird, vergleicht der Sicherungsprozes- 
sor 120 die jeweiiigen AdreBstgnale und Programmzahler- 
Inhalte mit den dazugehdrigen Grenzwerten fiir diesen An- 
wender. Diese Grenzwerte sind in der Speicheranordnung 



150 als Bestandteil des Betriebssystems des Sicherungspro- 
zessors 120 gespeichert. Wenn z. B. das Fremdprogramm 
des Anwenders I ausgefUhrt wird, darf der Inhalt des Pro- 
grammzahlers PC nur einen bestimmten Wertebereich ab- 
5 decken. AuBerdem dtirfen die Adressen auf dem AdreBbus 
117 nur diesem Wertebereich entsprechen. Bet Abweichun- 
gen gibt der Sicherungsprozessor 120 das Reset-Signal zum 
Sperren der Ausfuhrung des Fremdprogramms an den Ar- 
beitsprozessor 110. 
io [0046] Fig. 4 zeigt eine zweite Ausftihrungsform der Er- 
findung, wobei der dem Mikroprozessor 210 zugeordnete 
Betriebssystem-Speicher 231 getrennt von den Speicherbe- 
reichen 234, 235 und 236 angeordnet sind. Letztere dienen 
zur Aufnahme von Fremdprogrammen fUrdrei verschiedene 
L5 Anwender. Zwischen dem Mikroprozessor 210 und den drei 
Speichem bzw. Speicherbereichen 234, 235, 236 verlaufcn 
AdreB-, Daten- und Steuerbus. 

[0047] Der AdreBraum fUr den Zugriff auf die drei 
(PROM-)Speicherbereiche 234, 235, 236 umfaBt beispieis- 
20 weise 16 Bits, wobei die zwei hochstwertigen Bits fesde- 
gen, weicher Speicher bzw. welcher Speicherbereich fiir den 
aktuellen Zugriff vorgesehen ist. Insgesamt kdnnen mit den 
zwei hochstwertigen Bits vier Speicher oder Speicherberei- 
che angesprochen werden (00, 01 , 10, 11). 
25 [0048] Jeweils vor der Ausfuhrung eines Fremdpro- 
gramms wird durch das Betriebssystem, beispielsweise ge- 
steuert durch anwenderspezifische Parameter, in ein erstes 
Hilfsregister 222 (HRI) ein Wert eingegeben, der im vorlie- 
genden Fall zwei Bit umfaBt. Wenn beispielsweise das 
30 Fremdprogramm im Speicher 234 ausgefUhrt werden soil 
und dieser Speicher Adressen mit der Bit-Kombination B 0 1 " 
in den zwei hochstwertigen Bit-Steilen aufweist, so wird in 
das Hilfsregister 222 der Wert H 01" eingespeichert. 
[0049] Zu Beginn der Ausfuhrung des Fremdprogramms, 
35 d. h. mit der ersten Adressierung, werden die beiden hochst- 
wertigen SteUen des AdreBregisters von dem AdreBbus in 
ein zweites Hilfsregister (HRII) 223 geladen und ein die tn- 
halte der beiden Hilfsregister 222 und 223 vergleichender 
Komparator 221 durch ein entsprechendes Steuersignal 228 
40 des Mikroprozessors aktiviert. Solange der Inhalt des Hilfs- 
registers 222 mit dem Hilfsregister 223 Ubereinstimmt, be- 
deutet dies, daB sich das Fremdprogramm lediglich in dem 
ihm zugeordneten AdreBraum (Speicherbereich 234) be- 
wegt. Wird auf einen anderen AdreBraum zugegriffen, so 
45 andern sich damit die beiden hochstwertigen SteUen des 
AdreBsignals und damit der Inhalt des Hilfsregisters 223. 
Dies wird von dem Komparator 221 festgestellt, der Uber 
eine Leitung 226 ein Reset-Signal an den Mikroprozessor 
210 gibt. 
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1. Kartcnformigcr Datentrager mit daten schUtzcndcr 
Mikroprozessorschaltung zur Verhindcrung des Zu- 
griffs auf in Speichern abgeiegten Daten oder Program- 
men mit einem Arbeitsprozcssor, eincm Speicher fiir 
cin Betriebssystem und mchrcren Speicherbereichen 
zur freien Programinierung mit jeweils einem individu- 
ellen Fremdprogranim, mil einer Schutzschaltung, be- 
stehend aus einer ersten Einrichtung zur Oberwachung 
der jeweils gUldgen ZugrifFsadresse, einer zweiten Ein- 
richtung zur Oberwachung des jeweiiigen Inhalts des 
Arbeitsprozessor-Programmzahlers und einer dritten 
Einrichtung, die die Signale der Cfberwachungseinrich- 
tungen zur Erzeugung eines Sperrsignals verknUpft, 
dadurch gekennzeichnet, daB die Schutzschaltung ein 
zweiter Mikroprozessor ist, der mit der gieichen oder 
einer hdheren Taktfrequenz betreibbar ist als der Ar- 
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beitsprozessor. 

2. Kartenformiger Datentrager nach Anspruch 1, da- 
durch gekennzeichnet, daB das Sperrsignal dcr Ver- 
knupfungseinrichtung auf den Interrupt-Eingang des 
Arbeitsprozessors gefUhrt wird. s 

3. Kartenformiger Datentrager nach einem oder meh- 
reren der vorhergehenden Anspriiche, dadurch gekenn- 
zeichnei, daB das Sperrsignal der Verknupfungseinrich- 
tung auf den Reset-Eingang des Arbeitsprozessors ge- 
fUhrt wird. w 

4. Kartenformiger Datentrager nach einern oder meh- 
reren der vorhergehenden Anspriiche, dadurch gekenn- 
zeichnet, daS der zweite Mikroprozessor und der die 
Fremdprogramme steuemde Arheitsprozessor auf dem 
gleichen integrierten Schaltkreis angeordnet sind. 15 

5. Kartenformiger Datentrager nach einem oder mch- 
reren der vorhergehenden Anspriiche, dadurch gekenn- 
zeichnei, daB dem zweiten Mikroprozessor ein Grenz- 
wertspeicher zugeordnel ist, in welchem Grenzwerte 
fiir die uberwachten Adressen und fiir mogliche Inhalte 20 
des Programmzahlers des Arbeitsprozessors gespei- 
chert sind, auf die der Arbeitsprozessor keine Zugriffs- 
moglichkeit hat. 

6. Kartenformiger Datentrager mil datenschtttzender 
Mikroprozessorschaltung zur Verhinderung des Zu- 25 
griffs auf in Speichem abgelegten Daten oder Program- 
men mit einem Arbeitsprozessor, mil einem Speicher- 
bereich fiir ein Betriebssystem und mehreren Speicher- 
bereichen zur freien Programmicrung mit jeweils ei- 
nem individuelien Fremdprogramm, wobci die Adrcss- 30 
raume der Speicherbereiche wenigstens in den zwei 
hochstwertigen Stellen gleich sind, mit einem ersten 
Hilfsregister, in dem die hochstwertigen Stellen des 
Adressraumes des auszuftihrenden Fremdprogramms 
abgelegt sind, mit einem zweiten Hilfsregister, in dem 3S 
die hochstwertigen Stellen der jeweiligen Zugriffs- 
adresse abgelegt sind, mit einem Komparator zum Ver- 
gieich der Inhalte der beiden Hilfsregister, der ein 
Sperrsignal erzeugt, wenn die Inhalte der Hilfsregister 
nicht ubereinstimmen. 40 
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